Il dumping delle credenziali si verifica quando un attore di minacce ruba le credenziali dell’utente, come la password, per eseguire varie attivitร dannose, tra cui il ransomware. Spesso viene confuso con lo stuffing delle credenziali, un tipo di attacco informatico che “inserisce” le credenziali rubate in piรน siti web. In sostanza, lo stuffing รจ simile a un “lancio di spaghetti sul muro e vedere quale si attacca”, mentre il dumping delle credenziali sfrutta le vulnerabilitร nella RAM per rubare e copiare le credenziali. Una volta che le credenziali dell’utente sono diventate accessibili, si dice che questi dati sono stati “dumped”.
In ogni caso, entrambe le minacce, per essere affrontate, richiedono una solida strategia di gestione delle credenziali nella tua organizzazione.
Come funziona il dumping delle credenziali?
In genere, i criminali informatici entrano nella RAM del dispositivo (e non nella ROM) e cercano tutte le credenziali che riescono a trovare, come nomi utente e password. Una volta che i malintenzionati ricevono le tue credenziali, cercheranno di accedere ai tuoi account o di infettare altri dispositivi connessi alla stessa rete (si tratta di una strategia comune di “preparazione” per un attacco ransomware-as-service in tutta l’azienda,ย per esempio).
Pertanto, il dumping delle credenziali รจ raramente una minaccia isolata e di solito precede un attacco informatico molto piรน completo e su piรน fronti. Per esempio, il “dump” potrebbe essere il primo tentativo di accesso al Security Account Manager (SAM) del dispositivo, che contiene un elenco di hash delle password utilizzate per accedere ai dispositivi. I criminali informatici possono, a quel punto, utilizzare le credenziali rubate con l’hash per ottenere l’accesso autorizzato ad altri computer sulla stessa rete (questo รจ noto come attacco Pass the Hash (PtH)).
Sperimenta un accesso di livello enterprise con il Credential Exchange di NinjaOne.
Guarda una demo gratuita oggi stesso.
Perchรฉ il dumping delle credenziali รจ cosรฌ pericoloso?
Probabilmente, la maggior parte delle violazioni dei dati inizia con il dumping delle credenziali. Si tratta di una preoccupazione significativa, soprattutto perchรฉ gli esperti hanno rilevato un aumento del 78% delle compromissioni di dati segnalate pubblicamente nel 2023 rispetto al 2022 (2023 Data Breach Report, Identity Theft Resource Center). Si prevede che questo numero aumenterร nei prossimi anni, costando alle aziende milioni di dollari in termini di perdita di produttivitร . Diamo un’occhiata ad alcuni numeri:
- Il costo globale delle violazioni dei dati nel 2023 รจ stato di 4,45 milioni di dollari, con unaumento del 15% negli ultimi tre anni (Cost of Data Breach Report, IBM).
- Solo nel primo trimestre del 2023 sono stati resi pubblici 6,41 milioni di singoli dati in tutto il mondo (Statista).
- Il numero medio di giorni per identificare una violazione dei dati รจ 204 e il tempo medio necessario per contenere queste violazioni รจ di 73 giorni (Statista).
- C’รจ stato un aumento del 71% dei cyberattacchi causati da furto di credenziali e sfruttamento dell’identitร (IBM).
A cosa puรฒ portare il dumping delle credenziali?
Il dumping delle credenziali puรฒ essere lโinnesco per cyberattacchi molto piรน pericolosi, tra cui:
Pass the hash (PtH)
Gli hacker rubano le credenziali utente con hash (un tipo di crittografia) e le riutilizzano per creare una nuova sessione utente sulla stessa rete. Invece di crackare le credenziali, gli attacchi PtH utilizzano password memorizzate e crittografate per avviare una nuova sessione.
Pass the Ticket (PtT)
Gli attacchi PtT rubano il ticket di autenticazione all’interno del dominio Windows per impersonare l’utente e ottenere un accesso non autorizzato alla rete IT. Mentre PtH e PtT sono attacchi basati sull’autenticazione, PtT usa in modo malevolo i ticket Kerberos rubandoli ed รจ piรน specifico per gli ambienti di dominio Windows.
Ridurre il rischio di dumping delle credenziali
Esistono molti modi per ridurre il rischio di dumping delle credenziali. Alcuni modi per ridurre il rischio includono, a titolo esemplificativo, i seguenti:
- Controlla e aggiorna gli algoritmi obsoleti o deboli, utilizzati nella crittografia SSL/TLS.
- Mantieni password forti per ogni app o software (evita di usare la stessa password per tutto).
- Limita il numero di account con diritti di amministratore.
- Implementa l’autenticazione a piรน fattori o 2FA su tutti gli account.
- Conduci regolarmente corsi di formazione sulla cybersecurity per tutti i membri del team della tua organizzazione.
- Progetta strategie di protezione della password su PowerShell, come la richiesta di una password dopo la sospensione o la configurazione della scadenza della password.
- Imposta un firewall.
- Mantieni la tua rete IT integra con un solido sistema di patch management.
Difendersi dal dumping delle credenziali
Il dumping delle credenziali continuerร a essere una minaccia significativa, soprattutto perchรฉ un numero sempre maggiore di persone utilizza vari dispositivi per memorizzare le proprie informazioni personali o sensibili. Sebbene non sia possibile eliminare il rischio di furto delle credenziali, puoi ridurlo rendendo piรน difficile l’accesso agli hacker.
